Vai izstrādātāji var uzstādīt slepenas pieejas (backdoor) Latvijas IT sistēmām?

Pavisam nesen, veicot drošības testus, saskārāmies ar jaunu, mums šokējošu  faktu – izstrādātāju veidotas slepenpiekļuves (backdoor), kas ļāva programmētājiem nekontrolēti un netraucēti piekļūt pasūtītāja informācijas sistēmām. Īpaši šokējoši tas bija tāpēc, ka pasūtītājs par “caurumu” esamību nebija informēts,  līdz ar to tas pēc šo piekļuvju atklāšanas izrādījās pilnībā neizsargāts…

Kādi ir riski?

Pirmkārt, šādas slepenpiekļuves noteikti palielina ļaunprātīga uzbrucēja uzbrukuma vektoru sistēmai. Tāpat slepenpiekļuves un testa saskarnes var nebūt nodrošinātas ar pietiekamu drošības un funkcionalitātes tiesību un lomu ierobežojošu kontroli, kas ļauju ļaunprātīgam uzbrucējam pārkāpt lietotājiem paredzētās lomu tiesības, kā arī veikt darbības, kas nav paredzētas no lietotāja saskarnes. Sliktākos gadījumos tās var tikt izmantotas no paša izstrādātāja puses noteiktu ar pasūtītāju nesaskaņotu darbību veikšanai, piem., piekļuvei nozīmīgiem klienta biznesa datiem…

Kā pasūtītājs varētu sevi pasargāt?

Kā primāro pasākumu slepenpiekļuvju risku minimizēšanai, ko rekomendējam piemērot pasūtītājam biznesam kritiski nozīmīgu sistēmu gadījumā, ir sistēmas drošības testēšana pirms sistēmas darbināšanas uzsākšanas produkcijas vidē.

Otrkārt, Pasūtītājs var sevi aizsargāt ar juridiskiem līdzekļiem, ja tomēr šādas slepenpiekļuves tiek atklātas. Rekomendējam Pasūtītājam līgumā ar izstrādātāju iekļaut šādus punktus:

1. Izstrādātājs ir atbildīgs, par to, ka tā izstrādātā programmatūra, kā arī Izstrādātāja izmantotās trešo pušu komponentes, nesatur ar Pasūtītāju nesaskaņotas slepenpiekļuves (back-door) Pasūtītāja sistēmām vai datiem.
2. Gadījumā, ja šādas slepenpiekļuves tiek atklātas Izstrādātāja piegādātajā sistēmā, Izstrādātājs tās novērš ne ilgāk kā 4 stundu laikā no brīža, kad par to ir paziņojis Pasūtītājs.  Šādā gadījumā Izpildītājs maksā līgumsodu EUR 10 000,00 (____________ euro) par katru atklātu slepenpiekļuves gadījumu, kas ir radies Izpildītāja darbības vai rupjas neuzmanības dēļ.
3. Izstrādātājs uzņemas visu likumdošanā, tai skaitā krimināllikumā noteikto atbildību par šādu slepenpiekļuves vietu atrašanos Pasūtītāja kodā, kā arī uzņemas atlīdzināt visus zaudējumus, kas radušies Pasūtītājam iepriekš norādīto slepenpiekļuvju izmantošanas rezultātā.

Treškārt, Pasūtītājam būtu jāuztur pie sevis sistēmas programmatūras kods un, ja finansiālie līdzekļu to atļauj, sistēmas drošības audita darbā uzdevumā bez drošības testēšanas būtu jāiekļauj arī programmatūras koda caurskate (code review).